E' stata individuata in the wild una nuova versione del ransomware Scarab, famiglia ormai rinomata di malware. Ne abbiamo parlato qualche settimana fa, quando il web fu inondato di ben 6 nuove versioni in un arco temporale minore di una settimana (per maggiori info leggi qui).
La diffusione di questa versione del ransomware Scarab è iniziata già da qualche tempo, probabilmente, stando ai report di vari ricercatori, agli inizi del mese di Luglio: sembra diretto principalmente contro utenti di lingua inglese, caratteristica che comunque non costituisce un limite alla diffusione nel mondo.
Come si diffonde
Non è chiaro come si diffonda il ransomware, ma, probabilmente, le vie più usate sono attacchi di contro configurazioni RDP non protette o tramite email di spam contenete allegati dannosi. In casi più rari è stato rinvenuto "accoppiato" a freeware compromessi disponibili al download nel web.
Come cripta i file?
Questo ransomware usa algoritmi AES per la criptazione dei file. Per fortuna ha pochissime estensioni bersaglio: cerca e cripta infatti principalmente documenti di Microsoft Office ed Openoffice, PDF, file di testo, foto (.png, jpg., .gif ecc...), video, archivi e database, musica (mp3, mp4) e video.
Una volta criptati i file, ne modifica solo l'estensione (il nome del file non subisce modifiche): solitamente l'estensione usata è appunto '.bin', più raramente invece assume la forma di '[Mrbin775@gmx.de].bin'.
La nota di riscatto
Terminata la criptazione, il ransomware copia sul pc infetto la nota di riscatto. Si chiama HOW TO RECOVER ENCRYPTED FILES.TXT
La nota di riscatto non indica un ammontare da pagare, ma invita l'utente a mettersi in comunicazione con l'attaccante attraverso due diversi indirizzi email, per ricevere le istruzioni necessarie.
Attualmente non ha soluzione, ma l'algoritmo di criptazione sembra avere punti deboli: aggiorneremo in caso di possibilità di soluzione.
Indicatori di compromissione:
File collegati:
- [random].exe
- HOW TO RECOVER ENCRYPTED FILES.TXT
Email di contatto:
- Mrbin775@gmx.de
- mrbin775@protonmail.com
Nessun commento:
Posta un commento